Onderzoekers van Pillar Security hebben een prompt injection-kwetsbaarheid ontdekt in Google’s Antigravity IDE, waardoor een bestandzoekfunctie kan worden misbruikt voor remote code execution (RCE). Deze kwetsbaarheid omzeilt de sandbox-beveiliging van Antigravity, inclusief de zogenoemde Secure Mode, die juist bedoeld is om dergelijke aanvallen te voorkomen. Het probleem ontstond doordat Antigravity AI-agenten toestaat native functies aan te roepen, zoals het zoeken naar bestanden, namens de gebruiker.

De kwetsbaarheid zit in het ‘find_my_name’-hulpmiddel van Antigravity, dat gebruikmaakt van de commandoregeltool ‘fd’ om bestanden en mappen te doorzoeken. Hierbij werd elke invoer die begon met een streepje (‘-’) door ‘fd’ geïnterpreteerd als een vlag in plaats van een zoekpatroon. Hierdoor konden aanvallers kwaadaardige commando’s injecteren via het zoekpatroon, waardoor ‘fd’ in plaats van alleen zoeken ook willekeurige code uitvoerde. Dit werd aangetoond door een bestand met een kwaadaardige prompt te creëren dat bijvoorbeeld de rekenmachine opstartte.

De onderzoekers legden uit dat deze techniek ook via indirecte prompt injection kan leiden tot remote code execution. Hierbij haalt een gebruiker een ogenschijnlijk onschuldig bronbestand uit een onbetrouwbare bron, zoals een openbare repository, dat verborgen instructies bevat om de exploit te activeren. De beveiligingsmaatregelen van Antigravity, waaronder Secure Mode, konden deze aanval niet detecteren of blokkeren omdat het ‘find_my_name’-hulpmiddel wordt aangeroepen voordat de beveiligingsrestricties van Secure Mode ingaan. Dit komt doordat het hulpmiddel als een native functie wordt behandeld en niet als een shell-commando.

De oorzaak van de kwetsbaarheid ligt in het ontbreken van invoervalidatie op het zoekpatroon en het feit dat ‘fd’ niet onderscheidt tussen vlaggen en zoektermen. Google heeft de kwetsbaarheid intern opgelost en gebruikers hoeven geen actie te ondernemen. De onderzoekers benadrukken dat deze kwetsbaarheid aantoont dat beveiligingsmaatregelen die alleen gericht zijn op shell-commando’s onvoldoende zijn. Meer informatie is te vinden in het blogbericht van Pillar Security. De afbeelding bij dit artikel is afkomstig van Tero Vesalainen / Shutterstock.